当前位置:>>
首页
>> 重要报道 >> 正文
江民公布“网银大盗”木马病毒技术分析报告
www.jiangmin.com.cn 2004-4-25 16:58:14 作者: 信息出自:江民科技
病毒名称:网银大盗(Trojan/PSW.HidWebmon)
病毒类型:木马
病毒大小:33792字节
传播方式:网络
2004年4月18日,19日,江民反病毒中心接连截获“网银大盗”(Trojan/PSW.HidWebmon)木马的2个变种Trojan/PSW.HidWebmon.a和Trojan/PSW.HidWebmon.b。该木马偷取某银行个人网上银行的帐号和密码,发送给病毒作者。和盗窃游戏帐号的木马相比,给染毒用户造成的损失更大,更直接。
具体技术特征如下:
1. 病毒运行后,将在用户计算机中创建以下文件:
%SystemDir%\expl0er.exe,33792字节,病毒本身
%SystemDir%\expl0er.dll,4608字节,dll文件,挂钩和发信模块
2. 在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建:
“intranet” = “%SystemDir%\expl0er.exe”
这样,病毒在系统启动时即可运行。
3. 病毒运行后会调用expl0er.dll,设置消息挂钩。Expl0er.dll和病毒主程序之间通过一块共享内存交换数据。
4. 病毒主程序开启2个计时器,计时器1每隔3秒钟检查是否有常用反病毒和防火墙软件运行,一旦发现则立即终止这些进程,同时还自动回写病毒注册表项和病毒文件。计时器2每隔0.5秒搜索用户的IE窗口,如果发现用户正在“某银行个人网上银行”的登陆界面,则尝试窃取注册卡号和密码。一旦成功,就把窃取到的信息保存到共享内存中。
5. Expl0er.dll被设置成消息挂钩后,用户对窗口的任何操作都会激活病毒代码。它将尝试连接http:// icbc.tw.st,用以判断当前网络是否接通。如果连接成功,就会把共享内存中保存的用户帐号和密码通过电子邮件发送给病毒作者。
针对该病毒,江民公司已经在第一时间升级。请您立即升级到4月20日病毒库,即可全面查杀该病毒的2个变种,保护您工商行个人网上银行帐号和密码的安全。
相关连接
